Un programme de gouvernance, de risque et de conformité peut aider une organisation à faire face à l’incertitude, à éviter les surprises et à atteindre les objectifs de l’entreprise. Chaque organisation dispose d’une forme ou d’une autre de GRC, même si elle ne porte pas ce nom. Après tout, qui ne se préoccupe pas des règles et des normes qui régissent la gestion de l’organisation, l’identification et la gestion des risques potentiels, et le respect des exigences réglementaires pour éviter les amendes et les pénalités ? Trop souvent, cependant, chaque département – risque assurable, finances, contrôles internes, santé et sécurité, et conformité de l’entreprise – fait ses propres affaires. Certains utilisent des logiciels, d’autres des feuilles de calcul, d’autres encore le courrier électronique. Rien n’est cohérent ni connecté. L’organisation d’aujourd’hui doit être en mesure d’avoir une vue d’ensemble de la GRC. Vous devez comprendre chaque risque, comment vos risques sont interconnectés et comment ils s’alignent sur vos objectifs. Si vous travaillez encore en silos, il est peut-être temps de procéder à une mise à niveau. Voici comment construire votre business case pour un meilleur programme de GRC.

Comment gérez-vous actuellement la GRC ?

Avant de définir les améliorations à apporter et de monter votre dossier, vous devez comprendre clairement comment les composantes de la GRC sont actuellement gérées dans votre organisation. Commencez par un examen approfondi de vos processus, de votre personnel et de vos systèmes actuels concernant le risque d’entreprise, la conformité, les relations avec les tiers et les politiques. Pensez-y :

  • Quels sont les processus et les technologies en place ? À qui appartiennent ces processus ? Que font-ils réellement ?
  • Comment les informations relatives à la GRC sont-elles partagées au sein de votre organisation ? Avez-vous tous accès aux mêmes informations ou sont-elles cloisonnées dans différents services ? Les tâches sont-elles répétées parce que l’information n’est pas facilement partagée ? Vous pourriez constater, par exemple, que le service informatique gère les risques et la conformité à l’aide de tableurs, que la conformité gère les exigences réglementaires à l’aide d’une ancienne base de données et que le risque assurable est géré à l’aide d’un logiciel.
  • Qu’est-ce qui fonctionne et qu’est-ce qui ne fonctionne pas ? Si certains départements font bien les choses, étendez-les à d’autres qui pourraient avoir du mal à gérer les risques qu’ils encourent.
  • Comment vos processus répondent-ils aux besoins de votre entreprise ? Disposez-vous de suffisamment d’informations sur les risques pour prendre des décisions sur l’avenir de l’entreprise ? Disposez-vous des informations nécessaires pour prendre des mesures opportunes afin d’éviter ou d’atténuer les pertes ? Connaissez-vous votre exposition aux risques au niveau de l’entreprise, des processus et de la technologie ?

Quelles sont les améliorations dont vous avez besoin en matière de GRC ?

Même les programmes de GRC les plus matures peuvent encore être améliorés. Trouvez les points d’achoppement où votre programme n’est pas efficace, efficient ou agile. Michael Rasmussen, expert en GRC et contributeur au webinaire Risk@Work, appelle cela l’Enfer de Dante de la GRC. « Il y a une complexité inutile, des informations gaspillées, des ressources gaspillées, des coûts élevés, des doublons, des redondances, des fragmentations et des choses qui passent à travers les mailles du filet parce que tout le monde va dans des directions différentes ». Où pouvez-vous faire évoluer votre architecture pour répondre aux besoins de l’organisation en matière de gouvernance, de risque et de conformité – et où pouvez-vous tirer parti de la technologie pour rationaliser les processus manuels ? La gestion des risques dépend de la gouvernance, qui définit le contexte, et de la conformité, qui assure le suivi et veille à ce que les contrôles soient en place et fonctionnent. Vous devez être en mesure de réunir les trois éléments de la GRC pour atteindre de manière fiable les objectifs, faire face à l’incertitude et agir avec intégrité. Quelle est votre feuille de route pour parvenir à ce vitrage unique ? Réfléchissez :

  • Quels sont vos processus communs pour l’identification et l’évaluation des risques, ainsi que pour la gestion des risques, de la conformité, des contrôles, des politiques et des fournisseurs ?
  • Comment ces processus doivent-ils fonctionner dans chaque département et entre les départements ?
  • Quelle technologie est nécessaire pour soutenir ces processus ?

Comment allez-vous vous y rendre ?

« Beaucoup d’organisations abordent la GRC avec des processus manuels et une multitude de documents, de feuilles de calcul et d’e-mails. C’est ce que j’appelle l’inévitabilité de l’échec », déclare M. Rasmussen. Il met également en garde contre le fait d’acheter d’abord la technologie, puis d’essayer de mettre au point vos processus de GRC par la suite. « Vous avez besoin d’une technologie et d’une architecture de l’information capables de prendre et de distribuer des points de données GRC, de fournir un contexte, d’analyser les relations et d’élaborer des actions. La technologie est le ciment qui maintient tout le reste ensemble. La technologie GRC vous aide :

  • Définir un vocabulaire commun pour le risque dans toutes les disciplines.
  • Établissez une seule source de vérité.
  • Normaliser les processus, les pratiques et les politiques.
  • Clarifier les rôles et les responsabilités pour les tâches de GRC.
  • Faciliter la communication et la collaboration entre les fonctions.
  • Assurer la transparence dans la prise de décision et le partage d’informations.

Élaborez votre argumentaire pour une GRC de niveau supérieur

Maintenant que vous savez où vous voulez aller et ce dont vous avez besoin pour y parvenir, l’étape suivante consiste à communiquer votre stratégie, la valeur et ce que les parties prenantes peuvent attendre à l’avenir. Commencez par l’efficacité. Il s’agit d’un calcul traditionnel du retour sur investissement en termes d’économies de temps et d’argent. Pensez au coût de la gestion des documents, des feuilles de calcul et des courriels, et à la chasse aux documents à moitié remplis ou non remplis, au lieu de gérer les risques. Peut-être qu’un rapport qui vous prend actuellement 200 heures ne vous prendra plus qu’une minute avec les bons processus et la bonne technologie. C’est une économie importante pour l’organisation. L’efficacité passe par une plus grande précision. Vous gagnez en efficacité lorsque moins de choses passent à travers les mailles du filet, lorsque l’exposition au risque est réduite et lorsque vous diminuez la probabilité d’une amende ou d’une pénalité pour non-conformité. L’efficacité est synonyme d’exhaustivité, de précision et d’efficacité. Sachez qui sont vos parties prenantes et ce qu’elles peuvent attendre d’un programme GRC amélioré. Vous devez communiquer la valeur à chaque membre de votre communauté de parties prenantes. Que veulent-ils vraiment ?

  • La gouvernance veut des données et des informations de qualité, regroupées dans leur contexte.
  • Le risque implique la capacité d’intégrer la gestion des risques à la planification stratégique, de maintenir une vision à 360 degrés des risques organisationnels et d’allouer efficacement les ressources pour faire face à ces risques.
  • L’éthique et la conformité veulent une culture d’entreprise et des pratiques établies pour prévenir les fautes, inspirer l’intégrité, détecter les problèmes et améliorer les résultats.
  • Les services financiers souhaitent réduire les coûts et optimiser l’affectation des capitaux aux processus de gouvernance, de risque et de conformité, afin que la GRC soit mieux alignée sur l’activité de l’entreprise.
  • Les fonctions d’audit et d’assurance veulent aller au-delà des processus financiers et évaluer la conception et le fonctionnement des contrôles en matière de gouvernance, de risque et de conformité.
  • Le service juridique souhaite mettre en place des pratiques saines pour faire face aux risques juridiques tout en améliorant la capacité à défendre l’organisation.

Au niveau de la direction, la plupart des oreilles sont attentives au retour sur investissement des gains d’efficacité obtenus grâce à un programme de GRC élevé. L’efficacité, cependant, peut être sous-estimée si elle n’est pas expliquée en termes concrets. Par exemple, une gestion des risques plus efficace pourrait réduire le risque résiduel, ce qui pourrait théoriquement permettre à l’entreprise de prendre plus de risques stratégiques tout en conservant le même appétit pour le risque. Un risque stratégique plus important peut conduire à une plus grande rentabilité. C’est un aspect qui intéressera certainement les dirigeants. Pour réussir une analyse de rentabilité de la GRC, il faut réunir la bonne équipe, avec le bon leadership qui peut amener les gens à travailler ensemble pour fournir une perspective d’entreprise, en utilisant des faits clairs et convaincants sur l’efficience, l’efficacité et l’agilité. C’est ce qui constitue votre argumentaire en faveur de la GRC.

Pour en savoir plus sur la GRC, téléchargez Governance, Risk, and Compliance : The Definitive Guide, et découvrez les solutions logicielles GRC de Riskonnect.